Nginx漏洞：CVE-2022-3638，绿盟这个老6，简直安全届毒瘤

起因：客户现场用绿盟的安全扫描，发给我一个报告，要求我们修复漏洞。

这个事我就挺奇怪，上次修复也不久，怎么又出问题。当时报告了3台设备，我分别build了两个版本，一个是mainline的1.23.3，一个是stable的1.22.1。然后1.23.3的通过了，1.22.1的又检测出来。

然后我就按照CVE编号和github地址去看了一下，结论是，绿盟这个老六，看到CVE也不验证评估一下，无脑入库。

首先这个CVE编号已经被官方拒绝了。

https://www.cve.org/CVERecord?id=CVE-2022-3638

然后去看看提交日期。

https://nvd.nist.gov/vuln/detail/CVE-2022-3638

日期和绿盟的发现日期相差不久。

然后看看绿盟发出来的代码修复方案。进了github发现绿盟就是纯纯的老6了，这个代码7月就修复了。影响应该只涉及到mainline版本，9月份提交CVE, 那Nginx当然得拒绝，都改完了还提交个P漏洞。

Nginx官方在7月当月就发布了新版本，绿盟甚至连版本号都搞错了。

再看看源码 stable版本甚至都没有这个问题。发布时间也比较早，不存在偷偷暗改的情况。

也就是说实际版本影响是1.23.0这个版本， 1.23.1就已经修复了。

其他：绿盟干这种猪逼事情也不是第一次了，nacos以前有一次身份验证漏洞，代码逻辑上有问题，只要关闭nacos验证模块的白名单就行了，绿盟也是死咬版本不放，poc测试返回http403，还在嘴硬存在漏洞，他们的逻辑是没有漏洞应该访问不通。这个事情最后不了了之，看来他们是一点都不会思考。